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Введение 


Для любой информационной системы (ИС) важно не просто внедрить адекватные 
механизмы защиты, но и поддерживать требуемый уровень безопасности в процессе 
ее эксплуатации. Данная проблема находится в одном ряду с вопросами обеспечения 
отказоустойчивости ИТ-компонентов и работоспособности ИС в целом. Ее актуаль- 
ность обусловлена неизбежностью эксплуатационных изменений ИС и среды (нап- 
ример, в результате обнаружения новых угроз или уязвимых мест, изменений требо- 
ваний пользователей, естественного развития и совершенствования системы и т.п.), 
вследствие которых возникает потребность: 

— подтверждения того, что ранее установленные для ИС требования безопасности 
по-прежнему выполняются и обеспечивают необходимый уровень защищенности либо 

— своевременного выявления необходимости модернизации системы защиты 
информации (СЗИ) в соответствии с произошедшими изменениями. 

Цель данной работы — разработка методологического подхода к созданию 
системы поддержки принятия решений для автоматизации экспертной оценки уровня 
информационной безопасности ИС в реальных условиях эксплуатации. 

Для достижения указанной цели необходимо было решить следующие задачи: 

— дать общую характеристику типового процесса поддержки требуемого уровня 
информационной безопасности в виде цикла Дэминга и определить место в нем задачи 
оценки текущего уровня информационной безопасности; 

— дать постановку задачи оценки текущего уровня информационной безопасности 
и определить показатели и критерии принятия решения; 

— предложить и обосновать общий подход к решению задачи; 

— предложить схему практической реализации подхода в виде системы поддержки 
принятия решения. 


Общая характеристика задачи поддержки 
информационной безопасности 


Процесс поддержки требуемого уровня информационной безопасности (ИБ) в 
ходе эксплуатации ИС разбивается на отдельные циклы. Один цикл представляет 
собой период от успешного завершения последней выполненной оценки ИС и начала 
эксплуатации разработанной/модернизированной системы до завершения следующей 
повторной оценки ИС. 

Для реализации и поддержания информационной безопасности в ходе эксплуа- 
тации ИС целесообразно придерживаться циклической модели Деминга «... — плани- 
рование — реализация — проверка — совершенствование — планирование -...» в соот- 
ветствии с СТБ ЗОЛЕС 27001-2011 [1]. 

Каждый из перечисленных на рис. 1 видов деятельности представляет самосто- 
ятельную задачу и может быть предметом отдельного исследования. 

План по поддержке требуемого уровня ИБ идентифицирует основную линию 
поведения (мероприятия и процедуры) при изменениях ИС или среды. План специ- 
фичен для конкретной ИС и определяется в терминах категории компонентов, которые 
могут подвергнуться изменениям. 

Решение задач, связанных с планированием возлагается на разработчика и неза- 
висимого эксперта. В качестве нормативно-методической базы при ее решении можно 
использовать ЗОЛЕС 15408-3:2008, СТБ 34.101.3-2004 [2], [3]. 
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Рисунок 1 — Цикл Дэминга поддержки ИБ в процессе эксплуатации ИС 


Реализация процесса поддержки ИБ в ходе эксплуатации ИС связана с решением 
целого ряда задач, включая: 

— обеспечение мониторинга, регистрации и анализа изменений ИС или среды с 
точки зрения возможного их влияния на защищенность ИС; 

— обеспечение мониторинга, регистрации, анализа и адекватной обработки выяв- 
ляемых в ходе эксплуатации ИС недостатков и инцидентов безопасности; 

— обеспечение необходимых текущих действий по поддержке требуемого уровня 
ИБ в ходе изменений ИС, включая обоснование корректности и достаточности пред- 
принятых мер; 

— обоснование того, что произошедшие изменения и выявленные недостатки 
находятся в пределах, установленных планом поддержки, вследствие чего требуемый 
уровень ИБ сохраняется и повторная оценка защищенности ИС не требуется. 

Решение задач, связанных с реализацией процесса поддержки установленного 
уровня ИБ, возлагается на разработчика и организацию, эксплуатирующую ИС. В ка- 
честве нормативно-методической базы при ее решении можно использовать [ЗОЛЕС 
15408-3:2008, СТБ 34.101.3-2004, ЗОЛЕС 27002:2005, ЗОЛЕС 18045:2008 [2-5]. 

Независимая экспертная проверка состоит в периодическом контроле коррект- 
ности действий разработчика. Цель проверки: 

— подтвердить, что текущая версия ИС находится в пределах, установленных 
планом и повторная оценка защищенности ИС не требуется либо 

— своевременно выявить потребность в модернизации СЗИ и проведении пов- 
торного испытания защищенности ИС. 

В качестве нормативно-методической базы при проведении экспертной проверки 
можно использовать ОЛЕС 15408-3:2008, СТБ 34.101.3-2004, ЗОЛЕС 27002:2005, 
ТЗОЛЕС 18045:2008 [2-5]. 

Проблема разработки/модернизации СЗИ решается в соответствии со сложив- 
шейся практикой разработки программных/программно-аппаратных средств. 

Анализ и оценка защищенности ИС проводится путем обследования ИС в реаль- 
ных условиях эксплуатации и возлагается на экспертов. Это сложный наукоемкий 
процесс, требующий знания исследуемой ИС, ее уязвимых мест, прогнозирования 
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угроз безопасности и порождаемых ими проблем информационной безопасности. 
В качестве нормативно-методической базы при проведении экспертной оценки можно 
использовать СТБ 34.101.3-2004, ЗОЛЕС 18045:2008 и Положение о порядке атте- 
стации СЗИ, утвержденное постановлением Совета министров РБ № 675 [3-6]. Именно 
эта задача и является предметом рассмотрения данной статьи. Актуальность данной 
задачи обусловлена, с одной стороны, практической потребностью в получении адек- 
ватной и конструктивной оценки уровня защищенности ИС, а с другой стороны, отсут- 
ствием общепризнанных эффективных методик оценки, охватывающих весь спектр 
аспектов ИБ, влияющих на уровень защищенности ИС. 


Постановка задачи 


Задача оценки текущего состояния информационной безопасности ИС в процессе 
ее эксплуатации состоит в следующем. 

Пусть 5 — некоторая функционирующая ИС, Р — совокупность исходных данных 
и документов об ИС 5, регламентированная в приложении 2 к Положению о порядке 
аттестации СЗИ из [6], и Е — эксперт, на которого возложена оценка защищенности 5. 
Требуется разработать комплексную методику экспертного обследования ИС, позво- 
ляющая оценить как отдельные аспекты безопасности ИС, так и информационную 
безопасность ИС в целом. 

Пакет Р исходных данных и документов представляется заявителем (разработ- 
чиком, организацией, эксплуатирующей ИС) и включает описание состава и струк- 
туры ИС, ее информационных потоков, перечень подлежащей защите обрабатываемой 
информации, модель потенциального нарушителя, описание системы защиты инфор- 
мации, правил разграничения доступа, организационной структуры ИС, технических 
средств и программного обеспечения, предназначенного для обработки защищаемой 
информации, средств физической защиты ИС, а также оцененное задание по безопас- 
ности и проектную, приемочную, эксплуатационную, организационно-распорядитель- 
ную документацию, связанную с обеспечением ИБ. 

Предполагается, что до инициирования процесса оценки ИС эксперт должен 
предварительно: 

— оценить пригодность представленного пакета О. Возможный подход к прове- 
дению такой оценки, основанный на использовании показателей полноты, адекват- 
ности отображения и достаточности уровня детализации, предложен в [7]; 

— по согласованию с заявителем ознакомиться в целом с ИС и СЗИ непосредст- 
венно на территории расположения ИС. Эксперт заслушивает заявителя по общим 
вопросам, связанным с ИС и обеспечением ИБ (например, назначение, структура ИС, 
используемые аппаратные устройства, базовое программное обеспечение, функцио- 
нальные возможности ИС, критичность обрабатываемой информации, узкие места 
ИС, ограничения на использование ИС, соответствие ИС стандартам, нормативным 
документам, требованиям политики безопасности, состав и структура СЗИ, порядок 
использования антивирусных средств, организационные мероприятия в области защиты 
информации, наличие и порядок использования эксплуатационной документации, 
включая руководства пользователей, эксплуатационные и должностные инструкции 
и т.п.) Заявитель демонстрирует работоспособность ИС и СЗИ и дает эксперту необ- 
ходимые разъяснения. 


Общая схема подхода 


Оценка информационной безопасности ИС осуществляется путем обследования 
ИС в реальных условиях эксплуатации (на территории размещения ИС). 
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В рамках предлагаемой комплексной методики выделены следующие виды 
экспертной деятельности: 

— обследование архитектуры ИС с целью проверки правильности ее отнесения 
к классу типовых объектов информатизации; 

— обследование организационной структуры ИС, включая проверку уровня 
подготовки кадров и распределения ответственности персонала за организацию и 
обеспечение выполнения требований по защите информации; 

— обследование состава и структуры комплекса технических средств и програм- 
много обеспечения. Проверка правильности выбора средств защиты информации; 

— обследование технологического процесса обработки и хранения защищаемой 
информации и информационных потоков; 

— обследование порядка применения программно-технических средств обработки 
информации и средств защиты информации; 

— обследования порядка выполнения организационно-технических требований 
обеспечения информационной безопасности ИС на различных этапах жизненного 
цикла; 

— проверка качества реализации функциональных требований безопасности к 
ИС и ИТ-среде ее эксплуатации (в соответствии с заданием по безопасности); 

— оформление протокола оценки по результатам проведенного обследования, 
включающего формирование экспертного заключения об уровне информационной 
безопасности на текущем этапе эксплуатации ИС. 

По каждому типу обследований определены: 

— общие сведения о предмете обследования с позиций информационной безо- 
пасности; 

— показатели, характеризующие с позиций ИБ качество реализации существен- 
ных для безопасности составляющих объекта обследования и 

— совокупность проверок (единиц работы), которые рекомендуется выполнить 
эксперту по каждому из показателей качества, и руководящие указания по выполне- 
нию каждой единицы работы. 

По результатам выполнения каждой единицы работы эксперт выставляет линг- 
вистическую и уточняющую ее количественную оценку качества выполнения прове- 
ряемого свойства. 

Для формирования экспертных оценок определена таблица соответствия, которая 
каждому допустимому лингвистической значению оценки сопоставляет числовой 
интервал значений. 


Таблица 1 - Пример соответствия между лингвистической и интервальной 
шкалами оценок 


Лингвистическая оценка Интервал 
степени соответствия количественных оценок 
Высокая степень соответствия 0,8 — 1,0 
Средняя степень соответствия 0,6 — 0,79 
Низкая степень соответствия 0,35 — 0,59 
Несоответствие 0,01 - 0,34 


Для каждой конкретной обследуемой ИС интервалы количественных оценок, 
указанные в табл. 1, подлежат корректировке, исходя из анализа существующих рис- 
ков безопасности. . 

Общая количественная оценка А“ по показателю р, определенному в рамках 
обследования А, вычисляется на основании взвешенной аддитивной свертки оценок, 
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выставленных экспертом по результатам выполнения единиц работ, установленных 
для показателя 1 с учетом значимости каждой из проведенных проверок. 


п; 

к 

У РьА 

м _ = 

А=— 
ТП. 


1 


где А“ — количественная экспертная оценка по результатам выполнения про- 
верки (единицы работы) , ри; — устанавливаемые экспертом веса, отражающие степень 
важности проверки /, п; — количество единиц работы, выполняемых в рамках оценки 
по показателю Г. 

Общая количественная оценка А^ по результатам обследования К вычисляется 
на основании взвешенной аддитивной свертки оценок по совокупности показателей, 
оцениваемых в рамках обследования К с учетом значимости каждого из показателей 


где рь — устанавливаемые экспертом веса, отражающие степень важности пока- 
зателя 1, & — количество показателей для обследования (. 

Общая количественная оценка Д° информационной безопасности системы $ на 
текущем этапе эксплуатации вычисляется как среднее арифметическое количествен- 
ных оценок по результатам всех проведенных видов обследования 


1 
> А‘ 
==, 

т 

где Т;-— количество проведенных видов обследования в ходе анализа системы 5. 

Лингвистические оценки по результатам отдельных обследований К и итоговая 
лингвистическая оценка текущей информационной безопасности системы 5 опреде- 
ляются на основании количественных оценок АКи Д® соответственно по таблице 1. 

Экспертное заключение формируется по каждому виду обследования с исполь- 
зованием следующего правила принятия решения. 

1. С учетом анализа риска нарушения безопасности обследуемой ИС эксперт 
устанавливает нижний порог положительной лингвистической оценки результатов 
обследования. 

2. Если в процессе экспертного обследования установлено, что оценка степени 
соответствия превышает установленный нижний порог лингвистической оценки или 
равна ему, то результат обследования считается положительным. В противном случае 
требуется доработка в части конкретного показателя. 

3. Решение о предмете доработки принимается на согласительном совещании 
заявителя и исполнителя. При этом принимается одно из следующих решений: 

— осуществить доработку СЗИ ИС или документа в течение установленного 
периода времени и провести повторную оценку в части проверки устранения выяв- 
ленных недостатков; 

— отказать в выдаче положительного заключения (в случае отказа заявителя от 
доработки). 


Показатели и единицы работы 


Показатели, единицы работы и рекомендации по их выполнению составляют 
методическое обеспечение для поддержки экспертного анализа ИБ ИС. 
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4.1 Для проверки правильности отнесения ИС к классу типовых объектов инфор- 
матизации следует использовать стандарт СТБ 34.101.30-2007 [8], в котором устанав- 
ливается классификация объектов информатизации по требованиям обеспечения за- 
щиты обрабатываемой информации. 

4.2 При обследовании организационной структуры ИС в качестве показателя 
оценки результатов обследования принята степень соответствия реальной организа- 
ционной структуры организационной структуре, представленной в техническом про- 
екте и в задании по безопасности. В состав экспертных проверок рекомендуется вклю- 
чить, например, следующие единицы работы: 

— проверить качество документов, описывающих организационную структуру 
(документ, описывающий организационную структуру, должен содержать следующие 
разделы: изменения в организационной структуре управления объектом, организация 
подразделений, реорганизация существующих подразделений управления); 

— выявить субъекты, влияющие на состояние ИБ ИС. Проверить, что к обеспе- 
чению ИБ привлекаются все влияющие на нее сотрудники, включая лиц участвующих 
в процессах автоматизированной обработки информации и технический персонал, 
обслуживающий ИС. 

— проверить, соответствует ли реальная общая организационная структура ИС, 
а также реальная организационная структура СЗИ описаниям, приведенным в доку- 
ментации по техническому проектированию и задании по безопасности. 

— проверить наличие категорирования ресурсов ИС в соответствии с проектной 
документацией и заданием по безопасности; 

— проверить, соответствует ли реальное наличие структурных подразделений 
объекта информатизации перечню структурных подразделений, приведенному в 
проектной документации и задании по безопасности; 

— проверить распределение функций, влияющих на обеспечение ИБ, между под- 
разделениями в соответствии с проектной документацией и заданием по безопасности; 

— проверить качество работы структурных подразделений в соответствии с про- 
ектной документацией и заданием по безопасности; 

— проверить наличие и качество реализации взаимодействий между подразделе- 
ниями и должностными лицами организации, способными повлиять на обеспечение ИБ; 

— проверить наличие и качество текущего контроля за работой подразделений, 
изменениями в составе, структуре, решаемых задачах и подходах к решению данных 
задач, а также наличие текущей отчетности о работе подразделений и текущих изме- 
нениях перед вышестоящим руководством, подразделениями и должностными лицами, 
на работу которых могут повлиять произведенные изменения; 

проверить наличие и качество выполнения процедур подготовки, принятия и 
реализации решений для руководителей и специалистов, управляющих информаци- 
онной безопасностью ИС. Проверить наличие документально подтвержденного соот- 
ветствия квалификации каждого сотрудника занимаемой им должности; 

— проверить наличие необходимой квалификации и инструкций по безопасной 
эксплуатации ИС для разных категорий пользователей, влияющих на состояние инфор- 
мационной безопасности ИС. Проверить наличие регламентации действий пользова- 
телей и обслуживающего персонала ИС. Проверить наличие полного пакета инстру- 
кций, необходимых для безопасной эксплуатации ИС. 

4.3 При обследовании состава и структуры комплекса технических средств и 
программного обеспечения обработки информации и защиты информации в качестве 
показателя оценки результатов обследования принята степень его соответствия про- 
ектной и эксплуатационной документации, техническому заданию на разработку ИС 
и заданию по безопасности. 
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4.4 При обследовании технологического процесса обработки и хранения защи- 
щаемой информации ИС в качестве показателя оценки результатов обследования 
принята степень успешности реализации операций технологического процесса. 

Экспертная проверка должна охватывать вопросы общей организации техноло- 
гического процесса (ТП), базовые операции сбора и регистрации данных, обработки 
данных, накопления и хранения данных, контроля и выдачи выходных данных, тран- 
спортирования (передачи и приема) данных, а также вопросы контроля за использо- 
ванием ресурсов и обеспечения надежного уничтожения информации. В качестве 
рекомендуемых единиц работы, например, в части общей организации ТП можно 
указать следующие: 

— проверить, соответствует ли предоставленное в документации описание ТП 
реальному обследуемому ТП; 

— проверить, соответствуют ли объекты и субъекты доступа, идентифицированные 
в документации на ТП, реальным объектам и субъектам доступа ТП; 

— проверить наличие документации по эксплуатации и обслуживанию ТП. Оценить 
качество информационного обеспечения ТП с точки зрения поддержки информаци- 
онной безопасности; 

— оценить надежность технического обеспечения ТП, используя для этого пре- 
доставленные заказчиком документы. Оценить достаточность уровня стандартизации 
и унификации составляющих компонентов ТП. Проверить степень сертифицирован- 
ности используемых средств и оборудования; 

— проверить, соответствует ли сложившаяся практика планирования и управления 
технологическим процессом предоставленной документации на ТП; 

— проверить, соответствует ли структура и состав реализованной автоматизиро- 
ванной системы управления (АСУ) ТП описанию структуры и состава АСУ ТП, при- 
веденному в документации. Проверить, обеспечивает ли реализованная АСУ ТИ 
решение поставленных перед нею задач. Проверить удовлетворяет ли АСУ ТП кри- 
териям и требованиям, установленным для нее в документации на ТП. Проверить 
соответствует ли реальное техническое, программное, информационное обеспечение 
АСУ ТП описанию, приведенному в документации; 

— проверить для каждой операции ТП наличие: названия, порядкового номера 
операции и номер предыдущей операции, указания того, является ли операция обяза- 
тельной или опциональной, указания функционального назначения; 

— проанализировать общую схему ТП с точки зрения выявления существующих 
возможностей доступа к обрабатываемой и передаваемой информации; 

— проверить, соответствуют ли реализованные в ТП механизмы управления 
доступом инструкциям пользователя и администратора; 

— проверить, предусмотрены ли в ТП механизмы сохранности активов при сбоях 
в работе и нарушении электропитания; 

— проверить наличие средств контроля и борьбы со старением и преждевременным 
износом носителей данных, аппаратных средств, как средств предотвращения сбоев 
и отказов; 

— проверить наличие средств контроля и предотвращения нарушений в работе 
аппаратных средств из-за неправильного использования или повреждения, в том 
числе из-за неправильного использования программных средств; 

— проверить наличие специальных средств защиты от нарушений работоспособ- 
ности компьютерных систем. В качестве специальных средств могут выступать: вне- 
сение структурной, временной, информационной и функциональной избыточности 
компьютерных ресурсов; защита от некорректного использования ресурсов компью- 
терной системы; выявление и своевременное устранение ошибок на этапах разработки 
программно-аппаратных средств; 
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— проверить соответствие используемых в ТП криптографических средств защиты 
национальным стандартам; 

— оценить простоту и удобство использования средств администрирования; 

— оценить, соответствует ли скорость обработки информации и время предостав- 
ления доступа к данным характеристикам, приведенным в документации; 

— оценить регулярность и требуемую полноту тестирования целостности данных 
и программного обеспечения ТП; 

— оценить качество резервного копирования критических данных и программного 
обеспечения ТП; 

— оценить ТП по эргономическим показателям, способным повлиять на безопас- 
ность эксплуатации ТП; 

— оценить приемлемость реальных затрат на обеспечение информационной безо- 
пасности ТП в соответствии с требованиями Технического задания и проектной доку- 
ментации; 

— оценить степень соответствия выбранных значений регулируемых параметров 
ТИ значениям нерегулируемых параметров ТП. 

4.5 При обследовании информационных потоков в качестве показателя оценки 
используется надежность реализации информационных потоков как внутри ИС, так 
и между ИС и внешней средой. Используется следующий критерий принятия решений: 
реализация информационных потоков в полной мере соответствует требованиям, 
установленным в техническом задании, задании по безопасности, схемах обработки 
и передачи информации внутри ИС, а также между ИС и внешней средой, инструкции 
по обеспечению защиты информации ИС. 

4.6 При обследовании порядка применения программно-технических средств 
обработки информации и средств защиты информации в качестве показателя оценки 
правильности применения средств обработки и защиты информации в ИС принято 
соответствие реализуемых процессов требованиям инструкций и других нормативных 
и организационно-распорядительных документов. Используется следующий критерий 
принятия решений: порядок применения программно-технических средств обработки 
информации и средств защиты информации в полной мере соответствует требованиям 
инструкции о порядке применения средств защиты информации ИС, инструкциям 
пользователя и администратора, схеме обработки и передачи данных (документов) в 
ИС, эксплуатационной документации, заданию по безопасности. В ходе данного обс- 
ледования должны быть оценены: порядок допуска и регистрации пользователей; 
порядок оформления для пользователей ИС разрешения на передачу информации; 
порядок применения средств защиты информации в зависимости от требований по 
целостности, конфиденциальности и доступности обрабатываемой и передаваемой 
информации; реализация правил разграничения доступа, порядок использования средств 
антивирусной защиты при входе и проведении сеансов связи в ИС; порядок контроля 
за выполнением мероприятий по обеспечению информационной безопасности при 
эксплуатации ИС и др. 

4.7 При обследовании порядка выполнения организационно-технических тре- 
бований обеспечения информационной безопасности ИС в качестве показателя оценки 
реализации требований принята степень выполнения требований организационно- 
технического уровня. Используется следующий критерий принятия решений: реали- 
зация организационно-технических требований (порядок и процедуры обращения с 
защищаемой информацией, порядок применения СЗИ, в том числе уровень подготовки 
кадров и распределение ответственности за организацию и обеспечение защиты 
информации и т.д.) в полной мере соответствует заданию по безопасности, инструк- 
циям пользователя и администратора. 
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4.8 При обследовании качества реализации функциональных требований безо- 
пасности в качестве показателя оценки используется степень реализации функцио- 
нальных требований безопасности, сформулированных в задании по безопасности. 
Необходимо убедиться в выполнении требований безопасности к среде, предъявляемых 
в задании по безопасности и способных повлиять на безопасность функционирования ТП. 
Решение по данному виду обследования принимается на основе проведения тестиро- 
вания ИС и сравнения степени совпадения фактических и ожидаемых результатов. 


Практическая реализация подхода 


Предлагаемый подход реализован в виде системы поддержки принятия решения, 
позволяющий автоматизировать процесс экспертного анализа. Разработанное мето- 
дическое обеспечение представлено в виде баз знаний, содержащих перечень единиц 
работы и рекомендации по их выполнению. Эксперт в диалоговом режиме выставляет 
лингвистическую и количественную оценку по результатам выполнения каждой еди- 
ницы работы из базы знаний. Вычисление обобщенных количественных и лингви- 
стических оценок, а также формирование протокола анализа выполняется в автома- 
тическом режиме. Общая схема работы системы поддержки принятия решения при- 
ведена на рис. 2. 


1 ввод идентификационных 
данных эксперта 


Данные об эксперте 
Ф.И.О 

должность 
организация 
телефон 

электрон. адрес 


Данные об ИС 
Название ИС 
Класс ИС 


2 ввод идентификационных 
данных об ИС 


Шкала весовых 

коэффициентов 
Лингвистическое ислов. 
значение иапазон 
весьма важный 1.0-0.75 


3 настройка шкал весовых 
коэффициентов 


4 настройка шкалы 
экспертных оценок 


менее важный О.24-0.О1 


Шкала экспертных 
Веса единиц оценок 
работы Лингвистич Числов. 
диница |вес . значение диапазон 
работы 


5 формирование 
системы весовых строгое 1.0-0.81 
коэффициентов высокое О.8-О.61 


Веса подвидов 
обследований 
вид подвид вес 
обследов. 
осл. ТИ сбор 
данных 


6 сбор экспертных 
оценок 


Экспертная оценка по 
единицам работы 
единица оценка 
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Рисунок 2 — Организационно-функциональная схема процедуры 
проведения экспертом анализа ИБ ИС 
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Заключение 


Предложенная методика оценки безопасности ОИЙТ и основанная на ней авто- 
матизированная система поддержки принятия решения позволит: 

— гарантировать соответствие процесса оценки действующим стандартам, 

— значительно снизить трудоемкость процесса оценки; 

— ПОЛУЧИТЬ более точные оценки; 

— повысить обоснованность результата оценки. 
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Метоадоюзса[ ЕоипааНопу ю Бестятоп 5$ирро!! т 1е Апа[у515 
о трюгтаноп 5есигйу итп Фе трютгтаноп 5уяет Орегапоп 
ТБе рарег 4еа1$ \уив фе рго ет оЁ шРогтайоп зу$етл$ зесигИу езитайоп т геа|- 


\ой4 сопЧ!опз, аз опе оЁ Фе Кеу 1а$К$ оЁ заррогапе Фе гедште4 1еуе] оЁ шРогтаНоп 
зесигиу аигие Фе Ше субе оЁ Фе зужет. ТБе сепега! сВагацензис оЁ ап шогтайНоп 
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зесигИу заррог рго ет, \/Р1сВ хепега| 4ес1$1оп зсвете 15 рае т то4е оР Ретте Сусбе 
“р1аппте — геа|тайоп — сВеск — пиргоуетепг’”, 15 о1уеп. Те БиеЁ 4езсирИоп оЁ {а$К$ 
апзте уфит 15 зсВете 15 олуеп. ТБе сепега] заетепЕ оЁ фе шЮюптайоп зеситу сштепе 
ае езитайоп рго ет ап4 Фе сепега| зсВете оЁ Фе арргоасВ {о 1$ Дес1з1оп аге слуеп. 

ТБе ехрей апа[уз1$ ргосез$ 15 тедисе4 1ю саггуте оц а питБег оЁ тзресйопз (агсШ- 
(есшиге оЁ шогтабноп зузет, огоап7айопа! згасвиге оЁ шоптаноп зузет, сотро$1оп 
апа згисиге оЁ а зеё оЁ 4есбтса| 10015 ап4 зой\аге, 1есппоозлса! ргосез$ оЁ ргосез$т? 
ап $югазе оЁ ргофесе4 шоптайоп, шоптайоп з@еапл$, ап огаег оР ре{огтапсе оЁ 
огоап7айопа!| {есбитса| зесигиу гедитетеп($, диаШу сБесКк оЁ теа|таноп оЁ Рапсйопа! 
зесигиу гедитетеп$ ш геа]-\уой4 Гапсбопте сопд1оп$ оЁ шРгтайоп зу$ет). Рог еась 
Суре оЁ шзресНоп$, Ше езИитайоп тео4о]огу соташише Фе дезсирноп оЁ Ше зеё оЁ 
тесоттепае4 ехрег свеск$ (\оГК ип $) ап фе шзгисйоп оп Фет ре{оптапсе 1$ оНегеч4. 
Ву гези$ оЁ регГогтапсе оЁ еасВ ип оЁ \огКк, Ше ехрей ри до\’п а Ппги1зЯс апд зре- 
суше даапануе езИтаНоп. Пиесотже4 езитайноп$ оп еасПВ туре о{ шзресНоп ап фе 
сепега! п(еотае4 езитаНоп оЁ шогтайоп зузет сштепе шРоптайоп зесигиу аге са|ся- 
[а{ед, аз ше \е1еве4 ааФауе рагсе]$, оп Фе ЪБаз1$ оЁ Шезе езитайоп$з. 

ТБе арргоась 1$ геаП7е4 аз а дес1з1оп зиррой зует, аПо\уше Бо о гедисе соз{$ 
ап4 ппргоуе Фе диаШу оЁ езитаНоп$. 
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